6.5.9. Gestión de la identidad

La instalación de KRA falla si todos los miembros de KRA son réplicas ocultas

La utilidad ipa-kra-install falla en un cluster donde la Autoridad de Recuperación de Claves (KRA) ya está presente, si la primera instancia de KRA está instalada en una réplica oculta. En consecuencia, no se pueden añadir más instancias de KRA al clúster.

Para solucionar este problema, desoculte la réplica oculta que tiene el rol de KRA antes de añadir nuevas instancias de KRA. Puede volver a ocultarla cuando ipa-kra-install se complete con éxito.

(BZ#1816784)

El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser rompe el sistema de certificados

El uso de la utilidad cert-fix con la opción --agent-uid pkidbuser corrompe la configuración LDAP de Certificate System. Como consecuencia, el sistema de certificados puede volverse inestable y es necesario tomar medidas manuales para recuperar el sistema.

(BZ#1729215)

Los certificados emitidos por PKI ACME Responder conectados a PKI CA pueden fallar la validación de OCSP

El perfil de certificado ACME por defecto proporcionado por PKI CA contiene una URL OCSP de muestra que no apunta a un servicio OCSP real. Como consecuencia, si PKI ACME Responder está configurado para utilizar un emisor de PKI CA, los certificados emitidos por el respondedor pueden fallar la validación de OCSP.

Para solucionar este problema, debe establecer la propiedad policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0 con un valor en blanco en el archivo de configuración /usr/share/pki/ca/profiles/ca/acmeServerCert.cfg:

  1. En el archivo de configuración de ACME Responder, cambie la línea policyset. serverCertSet .5.default.params. authInfoAccessADLocation_0=http://ocsp.example.com por policyset.serverCertSet.5.default.params.authInfoAccessADLocation_0=.
  2. Reinicie el servicio y regenere el certificado.

Como resultado, PKI CA generará certificados ACME con una URL OCSP autogenerada que apunta a un servicio OCSP real.

(BZ#1868233)

FreeRADIUS trunca silenciosamente las contraseñas de túnel de más de 249 caracteres

Si una contraseña de túnel tiene más de 249 caracteres, el servicio FreeRADIUS la trunca silenciosamente. Esto puede dar lugar a incompatibilidades inesperadas de la contraseña con otros sistemas.

Para solucionar el problema, elige una contraseña de 249 caracteres o menos.

(BZ#1723362)